Ransomware tarnt sich als Corona-Warn-App
Eine neue Ransomware namens CryCryptor täuscht vor, die offizielle Corona-Tracing-App des kanadischen Gesundheitsministeriums zu sein.
von Dr. Jakob Jung am , 15:48 Uhr
Die Sicherheitsexperten von Eset haben eine Android-App entdeckt, die Dateien auf den Geräten der Opfer verschlüsselt. Sie gibt sich als offizielle kanadische Corona-App zur Kontaktverfolgung aus.
CryCryptor tauchte nur wenige Tage nach der offiziellen Ankündigung der kanadischen Regierung auf, die Entwicklung einer landesweiten, freiwilligen Tracing-App mit dem Namen „COVID Alert“ zu unterstützen. Die offizielle App soll bereits im nächsten Monat in der Provinz Ontario getestet werden. ESET informierte das kanadische Zentrum für Cybersicherheit sofort nach der Entdeckung über diese Bedrohung.
Wenn ein Nutzer CryCryptor zum Opfer fällt, verschlüsselt die Ransomware die Dateien auf dem Gerät – und zwar die meisten gängigen Dateitypen. Doch anstatt das Gerät zu sperren, hinterlässt sie in jedem Verzeichnis mit verschlüsselten Dateien eine ReadMe-Datei mit der E-Mail des Angreifers.
Glücklicherweise konnte ESET ein Entschlüsselungs-Tool für die Opfer der Ransomware erstellen. Bei der Analyse fiel auf, dass es sich, anders als vom Entdecker angenommen, nicht um einen Banking Trojaner handelte. ESET entdeckte darin einen Fehler, der als „Unsachgemäßer Export von Android-Komponenten“ bezeichnet wird und als CWE-926 dokumentiert ist.
Aufgrund dieses Fehlers kann jede App, die auf dem betroffenen Gerät installiert ist, jeden exportierten Dienst starten, den die Ransomware bereitstellt. Auf diese Weise konnte ESET das Entschlüsselungs-Tool erstellen – eine App, die einfach die Entschlüsselungsfunktion der Ransomware-App nutzt.
Nach dem Start der App fordert die Ransomware die Berechtigung für den Dateizugriff auf dem Gerät an. Nach Erhalt dieser Berechtigung werden bestimmte Dateitypen auf den externen Medien verschlüsselt.
Die Dateien werden mit AES mit einem zufällig generierten 16-stelligen Schlüssel verschlüsselt. Nachdem CryCryptor eine Datei verschlüsselt hat, werden drei neue Dateien erstellt und die Originaldatei entfernt.
An die verschlüsselte Datei wird die Dateierweiterung „.enc“ angehängt und der Algorithmus generiert für jede verschlüsselte Datei, die mit der Erweiterung „.enc.salt“ gespeichert ist, ein eindeutiges Salt und einen Initialisierungsvektor „.enc.iv„.
Nachdem alle Zieldateien verschlüsselt wurden, zeigt CryCryptor die Benachrichtigung „Verschlüsselte persönliche Dateien, siehe readme_now.txt“ an. Die Datei readme_now.txt wird in jedem Verzeichnis mit verschlüsselten Dateien abgelegt.
Der für die Entschlüsselung von Dateien in CryCryptor verantwortliche Dienst, speichert den Verschlüsselungsschlüssel in den gemeinsamen Einstellungen, sodass er sich nicht an einen Command-and-Control-Server wenden muss, um ihn abzurufen. Wesentlich ist, dass es aufgrund eines Programmierfehlers (Sicherheitslücke CWE-926) möglich ist die Dienste der App auch von externen Programmen aus zu starten.
Auf dieser Grundlage hat ESET eine Android-Entschlüsselungs-App für diejenigen erstellt, die von der CryCryptor-Ransomware betroffen sind. Natürlich funktioniert die Entschlüsselungs-App nur für diese Version von CryCryptor.
Die CryCryptor-Ransomware basiert auf Open Source-Code, der auf GitHub verfügbar ist. Die ESET-Expertem haben ihn dort mithilfe einer einfachen Suche, auf Basis des Paketnamens der App und einigen einzigartigen Zeichenfolgen, entdeckt.
Die Entwickler der Open-Source-Ransomware mit dem Namen „CryDroid“ haben offensichtlich gewusst, dass der Code für böswillige Zwecke verwendet werden wird. Um das Projekt als Forschungsprojekt zu tarnen, behaupten sie den Code bei VirusTotal hochgeladen zu haben. Es ist unklar, wer das Sample hochgeladen hat, aber tatsächlich erschien es am selben Tag auf VirusTotal als der Code bei GitHub veröffentlicht wurde.
ESET betont, dass ein verantwortlicher Forscher kein derartiges Tool veröffentlichen würde, das leicht für böswillige Zwecke missbraucht werden kann, und hat deshalb GitHub über diesen Code informiert.
Quelle: https://www.zdnet.de/88380963/ransomware-tarnt-sich-als-corona-warn-app/
